人人网某接口不严可刷粉丝

漏洞详情

披露状态:

2014-05-12: 细节已通知厂商并且等待厂商处理中
2014-05-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

thx

详细说明:

在人人职场接口没严禁



http://zhichang.renren.com/company/5860961/positions



是post请求。。。



http://zhichang.renren.com/home/resume



在这里右下角



http://zhichang.renren.com/follow?uid=8629369&_rtk=5393bf59



1.png





返回:{"code":0,"detail":{"followType":1}}



关注下宝马的,ID是:

http://zhichang.renren.com/company/6899681?url_stat_type=search_company?url_stat_type=index_company





6899681





构造:http://zhichang.renren.com/follow?uid=6899681&_rtk=5393bf59



现在是:

2.png



访问后:



3.png





成功后:

4.png







漏洞证明:

在人人职场接口没严禁



http://zhichang.renren.com/company/5860961/positions



是post请求。。。



http://zhichang.renren.com/home/resume



在这里右下角



http://zhichang.renren.com/follow?uid=8629369&_rtk=5393bf59



1.png





返回:{"code":0,"detail":{"followType":1}}



关注下宝马的,ID是:

http://zhichang.renren.com/company/6899681?url_stat_type=search_company?url_stat_type=index_company





6899681





构造:http://zhichang.renren.com/follow?uid=6899681&_rtk=5393bf59



现在是:

2.png



访问后:



3.png





成功后:

4.png







修复方案:

转换post请求

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-12 15:17

厂商回复:

你报的这个漏洞,只能刷你本人对宝马公司一次粉行为。

最新状态:

暂无


漏洞评价: